はい、いつの間にかWordPress4.7.1がリリースされていますねー
なんかチェンジログ見たらバグ修正のみっぽいですが一応まとめときます
- 今回は、8個のバグが修正されたようです。
-
1,RestAPI
いままでは、REST APIは公開投稿を投稿したユーザー全てのデータ(もちろんパスワードとかは入ってませんよw)を渡していましたが、それを指定した投稿タイプを投稿したユーザーのみの情報となったらしいです。
The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API. Reported by Krogsgard and Chris Jean.
From https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/
2,PHPMailerのリモートコード実行
いちおう主要なプラグイン、コア等には影響してないらしいですが、念のため更新したらしいです。自分にはよく分かっていませんが重大な静寂性らしいです。
たぶんこれのことだと思います。( http://gigazine.net/news/20161227-phpmailer-vulnerability/ )
これが本当だったら結構怖いですね。。。
3,update-core.php の静寂性を利用したxss
はい、これもいまいちわからないかもしれませんが、update-core.phpのバージョンヘッダー等を利用してxssが可能になるバグだそうです
クロスサイトスクリプティングとは、ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。 動的Webページの表示内容生成処理の際、Webページに任意のスクリプトが紛れ込み、Webサイトを閲覧したユーザ環境で紛れ込んだスクリプトが実行されてしまいます。
From http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/xss/index.html
4,FlashファイルのアップロードによるCSRF
これもまたピンとこない(自分もです)方が多いかもしれませんがまたまた結構重大なバグっぽいです。
クロスサイトリクエストフォージェリ(CSRF)とは、Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。 掲示板や問い合わせフォームなどを処理するWebアプリケーションが、本来拒否すべき他サイトからのリクエストを受信し処理してしまいます。
From http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/csrf/index.html
はい、いかがでしたか?
きちんとWordPressをアップデートする意義が分かりましたか?
本当は他にもバグがあるのですが、筆者が眠いので、Google Translateでも通して、公式の発表を読んでみてくださいな
この記事を読んでくださりありがとうございました。
よろしければ他の記事もご覧ください。